Здравствуйте, если честно еще не разбирался с AppArmor или SELinux, и для начала хочется спросить, как организовать такую систему безопасности по принципу:
- Запрещено все, что не разрешено.
- У каждого исполняемого файла, есть набор правил которые могут разрешить ему дополнительные действия: доступ к конкретным файлам или каталогам, доступ к сети и.т.д. По мне абсурд, что каждое приложение имеет полный доступ к home директории пользователя.. ведь по-сути не так страшно если приложение повредит систему(всегда можно восстановить), куда страшнее если повредит данные.
- Такая система не очень влияла на производительность.